"Петя" превратился в "Кролика": Как вирус поразил сети Мининфраструктуры и Киевского метрополитена
"После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети", - рассказал заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
В Group-IB узнали, что IP домена, раздававшего вирусы, связан с пятью ресурсами, на владельцев которых зарегистрировано множество других сайтов, в том числе фарма-партнерок (сайты, продающие поддельные медикаменты через спам). "Не исключено, что они использовались для рассылки спама, фишинга", - отмечается в сообщении.
В компании Acronis в свою очередь уточнили, что вирус использовал поддельные сертификаты компании Symantec, американского производителя программного обеспечения. Это позволило вирусу остаться незамеченным до активации.
Специалисты компании заметили, что Bad Rabbit представляет собой более продвинутую версию вируса Petya, потому что он также шифрует содержимое жесткого диска, но использует для этого принципиально новые уязвимости.
Ранее эксперты лаборатории ESET сообщили о "сотне атак" с использованием Bad Rabbit (типа вируса - Diskcoder.D). Большинство срабатываний антивирусных продуктов ESET пришлось на Россию и Украину, затронуты также Турция, Болгария. Как стало известно позднее, на Россию пришлось 65% атак, на Украину - 12,2%, Болгарию - 10,2%, Турцию - 6,4%, Японию - 3,8%, на другие страны - 2,4%.
Как сообщала "ДС", в Украине 24 октября вирус атаковал сайт Мининфраструктуры, киевский метрополитен, сайт аэропорта "Одесса".
В России от атаки пострадали сайты изданий "Интерфакс", "Фонтанка" и "Аргументы недели".